Partager via


Support technique vérifié avec Vérification d’identité Microsoft Entra

Une problématique constante pour le service de support technique est de vérifier l'identité des appelants qui demandent de l'aide, en particulier dans les interactions à distance par téléphone, via une conversation ou par e-mail. Les méthodes traditionnelles telles que les informations d’identification personnelle (PII) et l’authentification basée sur les connaissances ne correspondent pas aux attaquants sophistiqués d’aujourd’hui, qui utilisent le hameçonnage, l’ingénierie sociale et même le clonage vocal alimenté par l’IA pour contourner les défenses. Les conséquences sont graves : sous pression, les agents du support technique peuvent exposer involontairement des données sensibles ou autoriser des actions frauduleuses.

La voie à suivre : authentification plus forte et résistante au phishing Pour se défendre contre ces menaces en constante évolution sans compromettre l’expérience utilisateur, les organisations doivent adopter des stratégies de vérification modernes, adaptées au paysage moderne des menaces. Cela inclut les éléments suivants :

  • Authentification résistante au phishing (par exemple, clés de sécurité)
  • Détection de fraude pilotée par l’IA pour signaler un comportement anormal
  • Principes de confiance zéro appliquant des contrôles d’identité stricts
  • Validation d’identité de niveau entreprise sans compter sur les informations d’identification personnelles.

Microsoft propose des solutions qui permettent aux administrateurs d’améliorer la sécurité sans sacrifier l’expérience utilisateur. Les organisations peuvent adopter les deux modèles clés :

  1. Authentification forte : les utilisateurs s’authentifient avec leurs informations d’identification d’entreprise existantes avant de demander le support technique. L'utilisateur est invité à présenter des informations d'identification fortement résistantes à l'hameçonnage avant qu'il ne soit autorisé à accéder aux ressources. La plateforme Microsoft propose des solutions telles qu’Azure Communication Services qui prennent en charge les API de communication multicanal pour l’ajout de la voix, de la vidéo, de la conversation, de la messagerie texte/SMS, de l’e-mail et bien plus encore à toutes vos applications. Azure Communication Services (ACS) prend en charge un modèle de sécurité dans lequel les utilisateurs visitent une URL pour lancer une session de voix/vidéo/conversation chiffrée directe avec un support technique via une application intégrée à ACS. L’authentification est gérée à l’aide de l’ID Microsoft Entra et des jetons ACS sécurisés garantissent un accès contrôlé, empêchant les connexions non autorisées.
  2. Récupération totale de perte : dans les cas où un utilisateur a perdu toutes les informations d’identification d’authentification, un processus de récupération sécurisé piloté par la stratégie est implémenté pour rétablir l’accès sans compromettre la sécurité. Vérification d’identité Microsoft Entra peut aider ces entreprises à ajouter facilement des processus de vérification dans les opérations de leur support technique et de leurs centres de services existants. Une fois la vérification réussie, le centre de services peut proposer des tâches comme les réinitialisations de mot de passe, le provisionnement de Passe d'accès temporaire, l’intégration de MFA (authentification multifacteur) et les mises à jour de compte, ce qui peut permettre une automatisation en libre-service. Ce document explique comment utiliser l’ID vérifié Microsoft Entra pour le scénario de récupération de perte totale.

Quand utiliser ce modèle

  • Vous disposez d’un système de centre de services avec prise en charge des API.
  • Votre système de centre de services permet l’intégration par programmation pour interroger Microsoft Entra ID ou n’importe quel autre système de services d’annuaire pour effectuer une mise en correspondance fiable et des mises à jour des profils utilisateur.

Solution

Pour déployer des flux de vérification, une entreprise doit suivre trois étapes principales :

  1. Configurer Vérification d’identité Microsoft Entra dans votre locataire Microsoft 365 et activer les informations d’identification de VerifiedEmployee pour l’émission. Une entreprise peut aussi émettre un ID vérifié basé sur un flux de vérification d’identité en travaillant avec nos partenaires pour la preuve et la vérification des identités (IDV, Identity Proofing and Verification) https://aka.ms/verifiedidisv.
  2. Émettre un ID vérifié pour vos utilisateurs.
  3. Ajouter un flux de vérification à votre solution de centre de services existante.

Configuration de la Vérification d’identité Microsoft Entra

Pour configurer le service Vérification d’identité Microsoft Entra, suivez les instructions de configuration rapide – Configurer un locataire pour la Vérification d’identité Microsoft Entra. À titre d'alternative, les clients peuvent utiliser la Configuration avancée pour configurer Vérification d’identité Microsoft Entra là où en tant qu'administrateur, vous devez configurer Azure Key Vault, et vous occuper d'inscrire votre ID décentralisé et de vérifier votre domaine.

Bien démarrer avec l'émission de l’ID vérifié VerifiedEmployee

  1. Créez un utilisateur de test dans votre locataire Microsoft Entra et chargez une photo de vous-même.
  2. Accédez à MyAccount, connectez-vous en tant qu’utilisateur de test et émettez des informations d'identification VerifiedEmployee pour l’utilisateur.

Capture d’écran de la prise en main de VerifiedEmployee.

Vous sélectionnez d’abord qui peut demander l’émission d’un ID vérifié en sélectionnant tous les utilisateurs ou un groupe spécifique d’utilisateurs. Connectez-vous ensuite à https://myaccount.microsoft.com et obtenez vos informations d’identification prêtes pour Vérification faciale avec Microsoft Authenticator.

Ajouter des flux de vérification à une solution de centre de services

Une entreprise peut configurer l’intégration de Vérification d’identité Microsoft Entra en effectuant les opérations suivantes :

  1. Ajoutez-le en tant que processus en ligne comme un bouton Get Verified dans l’application web service desk, suivez les étapes d’ajout d’une demande de présentation pour vérifier l’ID vérifié avec la vérification faciale. Les étapes sont mentionnées dans le lien https://aka.ms/verifiedidfacecheck.
  2. Configuration d’une application web dédiée pouvant accepter un ID vérifié de Microsoft Entra VerifiedEmployee avec Vérification faciale. Utilisez l’exemple GitHub pour déployer l’application web personnalisée. Sélectionnez cette option Deploy to Azure pour déployer le modèle ARM qui utilise l’identité managée.

Capture d’écran d’un déploiement sur Azure à l’aide du modèle ARM.

Une entreprise peut ajouter un webhook pour envoyer la réponse de la vérification Verified ID avec Vérification faciale à l’outil Service Desk. Vous pouvez vous référer à cet exemple d'ajout de webhook à un canal Teams. Cet exemple GitHub déploie une application web de vérification sur Azure en utilisant Azure App Service.

Une entreprise peut ajouter des services d’automatisation en libre-service, comme générer un Passe d'accès temporaire après la vérification réussie de Vérification d’identité en prenant des revendications depuis Vérification d’identité. L'exemple GitHub explique ce processus d’automatisation en libre-service.

Si vous êtes un fournisseur de services managés (MSP) ou fournisseur de solutions cloud (CSP), vous pouvez également ajouter ce modèle à votre processus Service Desk existant. Déployez le flux de vérification inline ou en tant qu’application web personnalisée. Pour le flux de présentation, ajoutez le champ acceptedissuers dans la charge utile et spécifiez les identificateurs décentralisés (did's) pour vos clients afin de vérifier VerifiedEmployee avec Vérification faciale.

...
"requestedCredentials": [ 
  { 
    "type": "VerifiedEmployee", 
    "acceptedIssuers": [ "<authority1>", "<authority2>", "..." ], 
    "configuration": { 
      "validation": { 
        "allowRevoked": false, 
        "validateLinkedDomain": true, 
        "faceCheck": { 
          "sourcePhotoClaimName": "photo", 
          "matchConfidenceThreshold": 70 
        } 
      }
  ...

Diagramme de séquence de la Vérification faciale.

Ressources supplémentaires